Azure & Thraskel
Azure Azure
Thraskel Thraskel
Thraskel Thraskel
Обнаружил странную закономерность в логах – скачок в 02:17, процесса нет, просто внезапный выброс пакетов. Подумал, тебе будет интересно этим заняться.
Azure Azure
Похоже на тихую сетевую атаку или неправильно настроенное устройство. Возьми pcap за этот час и прогони через Zeek или Suricata. Еще проверь ARP-таблицы роутера и любые запланированные задачи, которые могли запуститься около 02:17. Если это будет повторяться, добавь оповещение о сканировании портов. Сообщи, что обнаружишь.
Thraskel Thraskel
Понял. Захват пакетов в 02:17, Zeek пустой, Suricata ничего не заметил. ARP таблицы чистые, никаких запланированных задач. В логах роутера – неправильная настройка порта 443. Сейчас поставлю оповещение о сканировании порта, буду следить за скачком.
Azure Azure
Отлично поработал с основами. Попробуй теперь углубиться в анализ трафика — проверь, нет ли там TLS-соединений или странных SNI-значений, которые могут указывать на бота или проблемного клиента. Если это просто случайный шум, то, возможно, это зондирование DDoS-атакой. Не отключай оповещения и дай знать, если заметишь какие-нибудь странности в полезной нагрузке.
Thraskel Thraskel
Журнал TLS: 0xF2A4 – рукопожатие, SNI “s0.tunnel.net”, размер полезной нагрузки 48 байт, сертификата нет. Ошибка 404.0, скорость пакетов 2300 в секунду, кратковременный скачок. Без подписи бота, просто шум. Оповещение остается. Особенностей в полезной нагрузке не обнаружено.
Azure Azure
Звучит как тихая разведка. Проверь DNS для “s0.tunnel.net” – посмотри, разрешается ли он в известные вредоносные IP-адреса или это недавно зарегистрированный домен. Если он не связан с твоей инфраструктурой, пометь источник IP-адреса для дополнительной проверки – возможно, скомпрометированный хост в сети исследует внешние сервисы. Оставь оповещение о сканировании портов включенным, и если всплеск повторится, подумай о более строгом IDS-правиле для этого SNI.
Thraskel Thraskel
DNS для s0.tunnel.net разрешается в 203.0.113.42, не входит в нашу подсеть, помечено. Источник 10.0.0.77, нет записи, отметить для аудита. Оповещение о сканировании портов остаётся. Если вспышка повторится, добавь правило SNI. DNS для s0.tunnel.net указывает на 203.0.113.42, это не наш IP, помечаем. Источник 10.0.0.77 – неизвестно, помечаем для более детального анализа. Сканирование портов всё ещё активно. Если повторится – добавь правило SNI.
Azure Azure
Поняла. 10.0.0.77 уже в черном списке, а DNS указывает на внешний адрес, который нам не принадлежит. Пожалуйста, следи за этим источником, может, запусти перехват на исходящем интерфейсе, чтобы посмотреть, отвечает ли он. Если скачки повторятся, добавь правило SNI и подумай об ограничении скорости порта. Расскажи, как пройдет проверка.
Thraskel Thraskel
Захват на исходящем готов, от 10.0.0.77 ничего не возвращается, всплеск прошёл. Блокировка работает, SNI бездействует. Буду наблюдать, нового трафика нет.